Roadmap para a segurança da informação numa empresa de logística

Abstract

A presente dissertação foi elaborada no abito geral do grau de mestre em Engenharia e Gestão Industrial, com o intuito de descrever o projeto de investigação desenvolvido na Rangel Logistics Solutions. A dissertação intitula-se de “Roadmap para a segurança da informação numa empresa de Logística”. Este projeto surgiu do facto da empresa, não só ambicionar a obtenção de uma certificação da norma internacional ISO 27001:2013, mas também melhorar o nível de maturidade de segurança das TI– objetivo principal desta dissertação - e consequentemente, obter uma conformidade total com o regulamento geral de proteção de dados. A metodologia de investigação seguida foi “Investigação-Ação”. Começando com uma revisão bibliográfica, foram abordados temas relacionados com a segurança da informação, frameworks (IDC, COBIT, ITIL), norma ISO 27001 e proteção de dados. Durante a análise da situação atual com recurso a análise de documentos atuais, políticas, procedimentos, instruções de trabalho e também recorrendo a entrevistas de colaboradores, identificaram-se várias oportunidades de melhoria, destacando-se a: falta gestão de mecanismos, auditorias internas, inexistência de cultura de participação ativa no tema, gestão de identidades e acessos, práticas de gestão de problemas, inexistência de avaliações á segurança de informação de parceiros externos, ausência de abordagens á gestão de risco, entre outras falhas. Tendo em conta a avaliação da situação atual, procedeu-se ao desenvolvimento de um plano de iniciativas. Estas iniciativas foram construídas de forma a cumprir os requisitos da norma internacional ISO 27001 e do RGPD, tendo como referência o modelo de governança COBIT 5 e capaz de providenciar um serviço de alta qualidade segundo a estrutura ITIL. A melhoria do nível de segurança das tecnologias de informação permitirá uma melhoria na eficiência operacional e financeira, o cumprimento legal e regulamentar e aumento reputacional e comercial, para além de melhorar a capacidade de resposta a ameaças, quer internas e externas, aos sistemas de informação. Após o cumprimento do plano estratégico, de ambos os roadmap, espera-se um aumento do nível de maturidade de segurança de 62%, um aumento da cobertura da norma internacional cerca de 144% e um aumento da cobertura do RGPD de 138%.

This dissertation entitled “Roadmap for Information Security applied to a Logistics Enterprise” was written in the context of the achievement of a master´s degree in Industrial Management and Engineering, to describe the research project developed in Rangel Logistics Solutions. This project arose from the fact that the company not only desired to acquire an ISO 27001:2013 international certification, but also to improve the maturity level of IT security – which is the main objective of this dissertation – and, consequently, have total compliance to the GDPR. The investigation methodology followed was “Action-Research”. Starting with the literature review, topics related to information security, several frameworks (IDC, COBIT, ITIL), ISO 27001 standard and data protection were explored. While assessing the current state by analysing latest documents, policies, procedures, work instructions and also by interviewing employees, several opportunities of improvement were identified such as lack of mechanism management, lack of internal audits, non-existence of active participation culture in formation security, lack of identity and access processes management, lack of problem management, non-existent assessment to the information security of external partners, and absence of a risk management approach, among many others. According to the current state assessment, a plan of initiatives was developed. These initiatives were created in order to comply with the ISO 27001 standard and GDPR requirements, having as a reference the COBIT 5 governance framework and capable of providing high quality services according to the ITIL framework. The improvement of the security maturity level of IT will enable a better operational and financial efficiency, legal compliance, and commercial and reputational growth, besides improving the threat response, both internal and external, to information systems. After the implementation of the strategic plan, a growth of the security maturity level is expected worth 62%, a growth of the international standard coverage worth around 144% and a growth of the GDPR coverage worth around 138%.